Está en la página 1de 33

Auditora de Sistemas

Administracin de recursos
Ing. En sistemas de Informacin
FRBA - UTN - ARGENTINA
2011
Contenido
1. Concepto
2. Objetivos
3. Justificacin
4. Tipos de auditora
5. Evidencia de auditora
6. Normas de auditora
7. Control Interno
8. Riesgos de auditora
9. Fases de la auditora
Auditora de Sistemas
1. Concepto
La auditora de sistemas es la parte de la auditoria
interna que se encarga de llevar a cabo la
evaluacin de normas, controles, tcnicas y
procedimientos que se tienen establecidos en una
empresa para lograr confiabilidad, oportunidad,
seguridad y confidencialidad de la informacin que
se procesa a travs de computadores; es decir, en
estas evaluaciones se est involucrando tanto los
elementos tcnicos como humanos que intervienen
en el proceso de la informacin
Auditora de Sistemas
1. Concepto
Auditora de Sistemas
2-Objetivos
Auditora de Sistemas
Auditora de Sistemas
Objetivos especficos
Evaluar la intervencin de la auditora en el desarrollo,
implementacin y mantenimiento de aplicaciones.
Evaluar las polticas y criterios para la adquisicin y/o
desarrollo del software.
Evaluar los riesgos y fraudes de mayor incidencia al interior
de la empresa.
Examinar la documentacin y los procedimientos existentes
para determinar su actualizacin y efectividad.
Constatar si el personal se encuentra capacitado para aplicar
controles y procedimientos de seguridad.
Auditora de Sistemas
Objetivos especficos
Comprobar la participacin de los usuarios durante las
etapas de anlisis, diseo y puesta en marcha de las
diferentes aplicaciones.
Evaluar los procedimientos para asignacin de claves de
acceso, modificaciones, cancelaciones, etc.
Revisar los estndares de produccin y comprobar la calidad
de la informacin producida.
Verificar la programacin de los mantenimientos a las
aplicaciones
Auditora de Sistemas
3-Justificacin
Auditora de Sistemas
4-Tipos de auditora
Auditora forense: en aquellos casos que existan sospechas
de fraude o actuaciones ilegales, pueden realizarse
investigaciones para obtener evidencia (pruebas) utilizando
herramientas informticas para recuperar datos de forma
legal de equipos informticos utilizados por los sospechosos y
posteriormente analizarlos. Este tipo de actuaciones se
realiza, generalmente, por la polica, fiscala o a instancia
judicial.
Auditora de Sistemas
4-Tipos de auditora
Auditora de gestin: examen de un sistema informtico para
evaluar si los objetivos previstos al implementar el sistema
han sido alcanzados efectivamente, con criterios de economa
y eficiencia.
Auditoras sobre adquisicin de equipos y sistemas: dada la
complejidad, su efecto en la organizacin y el elevado coste
de los actuales sistemas informticos, este tipo de auditoras
son de realizacin frecuente en los auditores pblicos ms
avanzados a nivel internacional. Existe una relativamente
abundante metodologa a nivel internacional sobre este tipo
de trabajos
Auditora de Sistemas
4-Tipos de auditora
Auditora de seguridad informtica: auditora de controles de
seguridad en sistemas informticos para evaluar la extensin
en la que se mantiene la confidencialidad, integridad y
disponibilidad de los datos y los sistemas, teniendo en
consideracin el perfil de riesgo de la entidad y de sus
sistemas TI. Es una de las auditoras de mayor inters para
las entidades y empresas, ya que en los complejos sistemas
informatizados actuales se multiplican las potenciales
vulnerabilidades de seguridad que deben ser
adecuadamente cubiertas.
Auditora de Sistemas
4-Tipos de auditora
Auditora de aplicaciones informticas/sistemas de
informacin y auditoras limitadas sobre controles generales
y de aplicacin: revisiones sobre los controles manuales y
automatizados en un sistema informatizado, con el objetivo
de evaluar el grado de confianza que puede depositarse en
las transacciones procesadas y en los informes generados
por el sistema.
Auditora de Sistemas
5-Evidencia de auditora
Concepto y naturaleza: la evidencia de auditora es toda la
informacin usada por el auditor para alcanzar las
conclusiones sobre las que basa su opinin de auditora, sus
conclusiones y recomendaciones. La naturaleza de la
evidencia est constituida por todos aquellos hechos y
aspectos susceptibles de ser verificados por el auditor.
Caractersticas de la evidencia: dado que en pocas ocasiones
se puede tener certeza absoluta sobre la validez de la
informacin, el auditor, para tener una base razonable en que
apoyar su informe, precisa que la evidencia tenga unas
caractersticas esenciales; la evidencia debe ser: suficiente y
apropiada (pertinente y fiable).
Auditora de Sistemas
5-Evidencia de auditora
Suficiente: evidencia suficiente es la que el auditor necesita
en trminos cuantitativos para obtener una seguridad
razonable que le permita expresar una opinin en el informe
de auditora. Es decir, es la medida de la cantidad de
evidencia. La valoracin del nmero de elementos de prueba
que se considera suficiente depende del juicio del auditor.
Apropiada: apropiada es la medida de la calidad de la
evidencia de auditora, calidad que est condicionada por la
relevancia (o pertinencia) y fiabilidad (validez) de la misma. Es
la caracterstica cualitativa.
Auditora de Sistemas
5-Evidencia de auditora- La evidencia informtica de
auditora
Evidencia informtica. Informacin y datos contenidos en
soportes electrnicos, informticos y telemticos, as como
los elementos lgicos, programas y aplicaciones utilizados en
los procedimientos de gestin del auditado. Esta evidencia
informtica incluir los elementos identificados y
estructurados que contienen texto, grficos, sonidos,
imgenes o cualquier otra clase de informacin que pueda ser
almacenada, editada, extrada e intercambiada entre sistemas
de tratamiento de la informacin, o usuarios de tales
sistemas, como unidades diferenciadas.
Evidencia de auditora tradicional Evidencia informtica de auditora
Origen
Se puede establecer con facilidad el
origen/procedencia.
Es difcil determinar el origen si nicamente se
examina informacin en soporte informtico. Se
requiere la utilizacin de controles y de tcnicas
de seguridad que permitan la autenticacin y
reconocimiento.
Alteracin
La evidencia en papel es difcil de alterar sin que
se detecte.
Es difcil, si no imposible, detectar cualquier
alteracin nicamente mediante el examen de la
informacin en soporte informtico. La integridad
de la informacin depende de los controles
fiables y de las tcnicas de seguridad empleadas.
Aprobacin
Los documentos en papel muestran la prueba de
su aprobacin en su superficie.
Es difcil de establecer la aprobacin si
nicamente se examina la informacin en soporte
informtico. Se requiere la utilizacin de controles
y de tcnicas de seguridad.
Auditora de Sistemas
Evidencia de auditora tradicional Evidencia informtica de auditora
Integridad
Todos los trminos relevantes de una
operacin/transaccin se incluyen por lo
general en un mismo documento.
Los trminos ms significativos aparecen a menudo en
distintos archivos de datos.
Lectura
No se requiere ningn tipo de herramienta o equipo. Es necesaria la utilizacin de distintas tecnologas y
herramientas.
Formato
Parte integral del documento. El formato viene separado de los datos y puede
modificarse.
Disponibilidad y accesibilidad
Normalmente no es una restriccin durante la
fiscalizacin.
Las pistas de auditora para la informacin en soporte
informtico puede que no estn disponibles en el
momento de la auditora y el acceso a los datos puede
resultar ms difcil.
Firma
Es sencillo firmar un documento en papel y comprobar la
firma.
Se necesitan las tecnologas adecuadas para realizar una
firma electrnica fiable y revisarla.
Auditora de Sistemas
Auditora de Sistemas
6-Normas tcnicas de auditoria
INTOSAI - Organizacin Internacional de Entidades Fiscalizadoras superiores
ISSAI - Normas Internacionales de las Entidades Fiscalizadoras superiores
ISSAI 100 Postulados Bsicos de la Fiscalizacin Pblica
ISSAI 200
Normas Generales de Fiscalizacin Pblica et Normas sobre los derechos y el
comportamiento de los auditores
ISSAI 300 Normas de Procedimiento en la Fiscalizacin Pblica
ISSAI 400
Normas para la Elaboracin de los Informes en la Fiscalizacin
Pblica
ISSAI 5300-5399 Directrices de la IT auditoria:
ISSAI
5310
Information System Security Review Methodology - A Guide for Reviewing
Information System Security in Government Organisations
Auditora de Sistemas
6-Normas tcnicas de auditoria
The Institute of Internal Auditors
GTAG - Global Technology Audit Guides
GTAG 12: Auditing IT Projects
GTAG 11: Developing the IT Audit Plan
GTAG 10: Business Continuity Management
GTAG 9: Identity and Access Management
GTAG 8: Auditing Application Controls
GTAG 7: IT Outsourcing
GTAG 6: Managing and Auditing IT Vulnerabilities
GTAG 5: Managing and Auditing Privacy Risks
GTAG 4: Management of IT Auditing
GTAG 3: Continuous Auditing
GTAG 2: Change and Patch Management Controls
GTAG 1: Information Technology Controls
Auditora de Sistemas
6-Normas tcnicas de auditoria
The Institute of Internal Auditors
GTAG - Global Technology Audit Guides
Principios GAIT
Principio 1: la identificacin de riesgos y controles generales TI ser la continuacin del
enfoque de arriba hacia abajo basado en el anlisis de riesgos utilizado para identificar
cuentas significativas, los riesgos de estas cuentas y los controles clave en los procesos de
negocio.
Principio 2: los riesgos y controles generales TI que deben ser identificados son los que
afectan a la funcionalidad TI que sea crtica en las aplicaciones financieras significativas y los
datos relacionados.
Principio 3: los riesgos y controles generales TI que deben identificarse existen en los
procesos y en varios niveles TI: aplicaciones, bases de datos, sistemas operativos y redes.
Principio 4: los riesgos en los procesos TI de control son mitigados mediante el cumplimiento
de los objetivos de control TI.
Auditora de Sistemas
6-Normas tcnicas de auditoria
ISACA - Information Systems Audit and Control Association
Normas de Auditora de Sistemas de Informacin de ISACA
S1 Estatuto de auditora
S2 Independencia
S3 Etica y normas profesionales
S4 Competencia profesional
S5 Planeacin
S6 Realizacin labores de auditora
S7 Reporte
S8 Actividades de seguimiento
S9 Irregularidades y acciones ilegales
S10 Gobernabilidad de TI
S11 Evaluacin de riesgos en la planeacin
S12 Materialidad
S13 Uso de otros expertos
S14 Evidencia de auditora
Auditora de Sistemas
7-Control interno
El control interno es un proceso integral efectuado por la
gerencia y el personal, y est diseado para enfrentarse a los
riesgos y para dar una seguridad razonable de que en la
consecucin de la misin de la entidad, se alcanzarn los
siguientes objetivos gerenciales:
Ejecucin ordenada, tica, econmica, eficiente y efectiva de
las operaciones
Cumplimiento de las obligaciones de responsabilidad
Cumplimiento de las leyes y regulaciones aplicables
Salvaguarda de los recursos para evitar prdidas, mal uso y
dao.
Auditora de Sistemas
7-Control interno
Controles internos en entornos informatizados
Los controles internos relativos a los procesos informticos comprenden tanto los controles
generales que afectan al entorno informatizado en su conjunto como los controles
especficos de las distintas aplicaciones de negocio.
Auditora de Sistemas
7-Control interno
Tipos de controles
a) Controles generales: los controles generales son las polticas y
procedimientos que se aplican a la totalidad o a gran parte de los sistemas
de informacin de una entidad, incluyendo la infraestructura y
plataformas informticas de la organizacin auditada.
b) Controles de aplicacin: dado que la mayor parte de los procesos de
negocio de una entidad estn soportados por aplicaciones informticas,
muchos de los controles internos estn automatizados en ellas.
c) Controles de usuario: los controles de usuario son aquellos realizados
por personas que interactan con los controles de los SI. La eficacia de los
controles de usuario generalmente depende de la exactitud de la
informacin proporcionada por el sistema de informacin, como por
ejemplo los informes de excepcin u otros informes.
Auditora de Sistemas
8-Riesgos de auditora
Posibilidad de que cualquier error, omisin o irregularidad de importancia que
exista y no haya sido puesto de manifiesto por el Sistema de control interno o que
no fuera a su vez detectado por la aplicacin de las pruebas adecuadas de
auditoria.
Tipos de riesgo
Riesgo inherente: es la posibilidad inherente a la actividad de la entidad de que
existan errores o irregularidades significativas en el proceso, antes de considerar la
efectividad de los sistemas de control. El riesgo inherente es la tendencia de un
rea de Tecnologa de Informacin a cometer un error que podra ser material, en
forma individual o en combinacin con otros, suponiendo la inexistencia de
controles internos relacionados.
Riesgo de Control: es el riesgo por el que un error, que podra cometerse en un
rea de auditora y que podra ser material, individualmente o en combinacin con
otros-, no pueda ser evitado o detectado y corregido oportunamente por el
sistema de control interno.
Auditora de Sistemas
8-Riesgos de auditora
Riesgo de Deteccin: es el riesgo que se produce cuando los procedimientos
sustantivos del Auditor Interno no detectan un error que podra ser material,
individualmente o en combinacin con otros. Por ejemplo, el riesgo de deteccin
asociado a la identificacin de violaciones de la seguridad en un sistema de
aplicacin es normalmente alto, debido a que en el transcurso de la auditora, los
registros de todo su perodo no se encuentran disponibles. El riesgo de deteccin
asociado con la identificacin de la falta de planes de recuperacin ante desastres
es normalmente bajo, dado que su existencia puede verificarse con facilidad.
Auditora de Sistemas
9-Fases de la auditora
Las Normas Internacionales de Auditora exigen que el auditor realice sus
auditoras basndose en el risk-based approach to auditing o enfoque de
auditora basado en el anlisis de los riesgos (ABAR).
Esto implica tres pasos:
1. Evaluar el riesgo de manifestaciones errneas significativas;
2. Disear y ejecutar los procedimientos de auditora precisos en respuesta a
los riesgos evaluados y reducir el riesgo a un nivel aceptablemente bajo, y
3. Emitir un adecuado informe escrito basado en la evidencia de auditora
obtenida y en las incidencias de auditora detectadas.
Auditora de Sistemas
9-Fases de la auditora
Etapas principales de la Auditoria
Exploracin: la exploracin es la etapa en la cual se realiza el estudio o examen
previo al inicio de la Auditoria con el propsito de conocer en detalle las
caractersticas de la entidad a auditar. Los resultados de la exploracin permiten,
adems, hacer la seleccin y las adecuaciones a la metodologa y programas a
utilizar; as como determinar la importancia de las materias que se habrn de
examinar.
Planeamiento: el trabajo fundamental en esta etapa es el definir la estrategia que
se debe seguir en la Auditora a acometer.
Despus de que se ha determinado el tiempo a emplear en la ejecucin de cada
comprobacin o verificacin, se procede a elaborar el plan global o general de la
Auditora.
Auditora de Sistemas
9-Fases de la auditora
Contenidos mnimos del plan de auditora:
Definicin de los temas y las tareas a ejecutar.
Nombre del o los especialistas que intervendrn en cada una de ellas.
Fecha prevista de inicio y terminacin de cada tarea. Se considera desde la
exploracin hasta la conclusin del trabajo.
Igualmente se confecciona el plan de trabajo individual de cada especialista,
considerando como mnimo:
Nombre del especialista.
Definicin de los temas y cada una de las tareas a ejecutar.
Fecha de inicio y terminacin de cada tarea.
Cualquier ampliacin del trmino previsto debe estar autorizada por el supervisor
u otro nivel superior; dejando constancia en el expediente de Auditora.
Segn criterio del jefe de grupo, tanto el plan general de la Auditora, como el
individual de cada especialista, pueden incluirse en un solo documento en atencin
al nmero de tareas a ejecutar, cantidad de especialistas subordinados, etc.
Auditora de Sistemas
9-Fases de la auditora
Etapas principales de la Auditoria
Supervisin: el propsito esencial de la supervisin es asegurar el cumplimiento
de los objetivos de la Auditora y la calidad razonable del trabajo. Asimismo, debe
garantizar el cumplimiento de las Normas de Auditora y que el informe final
refleje correctamente los resultados de las comprobaciones, verificaciones e
investigaciones realizadas.
Ejecucin: el propsito fundamental de esta etapa es recopilar las pruebas que
sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por
decir de alguna manera, del trabajo de campo, esta depende grandemente del
grado de profundidad con que se hayan realizado las dos etapas anteriores, en
esta se elaboran los Papeles de Trabajo y las hojas de nota, instrumentos
que respaldan excepcionalmente la opinin del auditor actuante.
Auditora de Sistemas
9-Fases de la auditora
Etapas principales de la Auditoria
Informe: en esta etapa el Auditor se dedica a formalizar en un documento los
resultados a los cuales llegaron los auditores en la Auditora ejecutada y dems
verificaciones vinculadas con el trabajo realizado. La elaboracin del informe final
de Auditora es una de las fases ms importante y compleja de la Auditora, por
lo que requiere de extremo cuidado en su confeccin.
El informe de Auditora debe cumplir con los principios siguientes:
Que se emita por el jefe de grupo de los auditores actuantes.
Por escrito.
Oportuno.
Que sea completo, exacto, objetivo y convincente, as como claro, conciso y fcil de entender.
Que todo lo que se consigna est reflejado en los papeles de trabajo y que responden a hallazgos
relevantes con evidencias suficientes y competentes.
Que refleje una actitud independiente.
Que muestre la calificacin segn la evaluacin de los resultados de la Auditora.
Distribucin rpida y adecuada.
.
Auditora de Sistemas
9-Fases de la auditora
Etapas principales de la Auditoria
Seguimiento: en esta etapa se siguen, como dice la palabra, los resultados de una
Auditora, generalmente una Auditoria evaluada de Deficiente o mal, as que
pasado un tiempo aproximado de seis meses o un ao se vuelve a realizar otra
Auditora de tipo recurrente para comprobar el verdadero cumplimiento de las
deficiencias detectadas en la Auditoria.
Tcnicas y Herramientas de trabajo
Anlisis de la informacin recabada del auditado.
Cruzamiento de las informaciones anteriores.
Entrevistas.
Simulacin.
Muestreos.
Cuestionarios.
Cuestionario Checklist.
Simuladores (Generadores de datos).
Paquetes de auditora (Generadores de Programas).
Auditora de Sistemas
Bibliografa
Alonso Tamayo Alzate, Auditora de sistemas. Una visin practica. Universidad
Nacional de Colombia
Antonio Minguilln Roy, La Auditora de sistemas de Informacin integrada en la
auditora Financiera.